Extensible (par des connexions, ) Les outils d'analyse statique comme FindBugs peuvent augmenter la sécurité de vos applications de Java (Web aussi bien que des applications autonomes ou de client-serveur) de plusieurs manières significatives.


Exécution de la conformité de politique de sécurité

Des politiques de sécurité sont embrassées par des experts en matière de sécurité tels qu'OWASP et exigé pour la conformité par beaucoup de règlements tels que Sarbanes-Oxley qui exigent des organismes de démontrer ils ont fait « la diligence » en sauvegardant la sécurité d'application et l'intimité de l'information. Une politique de sécurité est un document de spécifications qui définit comment le code doit être écrit pour le protéger contre des attaques. Les politiques de sécurité incluent typiquement des exigences de sécurité faites sur commande, des conditions d'intimité, la sécurité codant les pratiques, des règles de conception d'application de sécurité, et des repères de test de sécurité.
L'analyse statique peut être employée pour vérifier automatiquement si la plupart des conditions de politique de sécurité sont mises en application réellement dans le code et pour identifier actuellement le code non-compliant.

L'analyse statique peut être employée pour vérifier automatiquement la conformité du code aux conditions spécifiques à l'application de politique de sécurité comme, par exemple, pour l'authentification, l'autorisation, la notation, et la validation d'entrée. Les couples des exemples des politiques de sécurité qui peuvent être facilement mises en application sont :
1. N'importez pas WSDLs en dehors d'un certain domaine
2. N'importez pas les schémas en dehors d'un certain domaine

Des règles spécifiques à une langue de politique de sécurité peuvent également être mises en application comme :
1. Assurez que toutes les invocations sensibles de méthode sont notées
2. Permettez seulement à certains fournisseurs d'être spécifié pour la méthode de « Security.addProvider () »

L'analyse statique peut également être employée pour vérifier si le code est conforme aux pratiques de sécurité industriellement compatible développées pour la langue et les technologies applicables.

Si vous vous développez dans Java, vous voudriez faire l'analyse statique pour vérifier des règles de sécurité industriellement compatibles de Java comme :
1. Validez un objet de HttpServletRequest en extrayant des données à partir de elle
2. Employez JAAS dans un mécanisme d'authentification centralisé simple
3. Ne causez pas les impasses en appelant une méthode synchronisée d'une méthode synchronisée
4. Employez seulement les algorithmes cryptographiques forts

Pour SOA, vous pouvez vouloir vérifier des règles industriellement compatibles comme :
1. Évitez les types illimités d'ordre de schéma
2. Évitez le xsd : quels, xsd : anyType et xsd : anySimpleType
3. Évitez le xsd : énumérez les types

Cet article emprunte des idées à système-escroquent l'article, qui soumet à une contrainte malheureusement seulement sur le produit de Parasoft. Tandis que vous pouvez faire les la plupart de ce qui précède avec l'outil de Parasoft, vous pouvez également le faire facilement avec un outil libre d'opensource - FindBugs. La ligne de fond est que l'analyse statique peut de manière significative améliorer la sécurité d'application et assurer la conformité aux normes de sécurité et les directives comme Sarbanes-Oxley.